3

いくつかの iptables ファイアウォール ルールを設定して、サーバーのセキュリティを改善しようとしました。その結果、Omniauth を使用した Facebook ログインが機能しなくなりました。私のログを見ると、少なくとも Facebook がサーバー ポート 37035 と 41198 にいくつかのパッケージを送信していることがわかります。なんで?これらのポートでは何も実行されていません。

Omniauth を使用した Facebook ログインが私のサイトで再び機能するようにするには、どのポートを開く必要があるか誰か教えてください。

私が適用したルールは次のとおりです。

# 既存のルールをすべて削除
iptables-X

# デフォルトのルールを設定
iptables -P 入力ドロップ
iptables -P 前方承認
iptables -P 出力受け入れ

# ssh を許可
iptables -A INPUT -i eth0 -p tcp --dport 22 -m 状態 --state 新規、確立済み -j 受け入れる
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# 着信 HTTP を許可
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

# 発信 SSH を許可
iptables -A 出力 -o eth0 -p tcp --dport 22 -m 状態 --状態 新規、確立済み -j 受け入れ
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# 外部からのpingを許可
iptables -A INPUT -p icmp --icmp-type echo-r​​equest -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-r​​eply -j ACCEPT

# 他のサーバーへの ping を許可する
iptables -A OUTPUT -p icmp --icmp-type echo-r​​equest -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-r​​eply -j ACCEPT

# ループバック アクセスを許可する
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# sendmail と postfix を許可
iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

# DNS ルックアップを許可する
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

# dos 攻撃を防ぐ - 必要に応じて hashlimit にアップグレード
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/分 --limit-burst 100 -j ACCEPT

# ドロップされたパッケージをログに記録する
iptables -N ロギング
iptables -A INPUT -j ロギング
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7
iptables -A LOGGING -j DROP

これは私のsyslogからのログエントリの例です(私のIPはフィルタリングされています)

IPTables Packet Dropped: IN=eth0 OUT= MAC=40:40:ea:31:ac:8d:64:00:f1:cd:1f:7f:08:00 SRC=69.171.224.54 DST=my_ip LEN=56 TOS=0x00 PREC=0x00 TTL=86 ID=0 DF PROTO=TCP SPT=443 DPT=44605 WINDOW=14480 RES=0x00 ACK SYN URGP=0
4

1 に答える 1